ssh benutzer deaktivieren

[The Hit-Man]

gibt es eine möglichkeit benutzer vom ssh-server auszuschließen? also die benutzer sind lokal angelegt, dürfen sich aber nicht per ssh anmelden. geht so was?

[Saxman]

Code: Alles auswählen

man sshd_config 

Schau dir den Parameter DenyUsers an

[slu]

... oder einfach nur die User erlauben die SSH dürfen mit AllowUsers.

[The Hit-Man]

jo, danke jungs, hat hingehauen

[uname]

Es gibt auch ein PAM-Modul.

[The Hit-Man]

Es gibt auch ein PAM-Modul.

sorry, keine ahnung, was das ist ...

geht nur da drum, das ich einen ssh tunnel aufbauen will mit einem bestimmten benutzer. oder ist es sinnvoller, das alle benutzer, ihren eigenen tunnel aufbauen können. den einzigsten vorteil da drin sehe ich, das ich unter

Code: Alles auswählen

htop

sehen kann, welcher user gerade seinen tunnel benutzt.

[slu]

was möchtest Du den erreichen?
Normal baut jeder User seinen eigenen SSH Tunnel auf, wer gerade angemeldet ist siehst Du mit:

Code: Alles auswählen

who

[uname]

Für die Geschichte mit dem PAM-Modul.
Auszug /etc/pam.d/sshd:

Code: Alles auswählen

auth        required    pam_listfile.so item=user sense=allow file=/etc/ssh_allow_list onerr=fail    

Erlaubte Benutzer dann zeilenweise in der Datei /etc/ssh_allow_list. Vorteil ist man muss nicht immer den SSH-Server neu starten wenn neue Benutzer hinzukommen oder alte gelöscht werden.

Tunnel sollte auch jeder Benutzer selbst aufbauen wobei SSH-Tunnel auch ein Sicherheitsproblem sein können. Wofür sollen denn die Tunnel so sein? Und wenn der Benutzer NUR einen Tunnel aufbauen soll ohne sich anmelden zu können gib ihm die Shell "/bin/false". Den Tunnelaufbau muss er dann mit der Option "-N" (No Shell) ausführen. Keine Ahnung ob putty.exe auch eine entsprechende Option hierfür hat. Unter Windows evtl. alternativ plink.exe nutzen.

[The Hit-Man]

der tunnel soll für samba-freigaben dienen. nun ist es so, benutzer 1 baut seinen tunnel auf und kommt auf die samba freigaben. nun macht man unter linux nen schnellen benutzerwechsel. benutzer2 kann nun keinen tunnel mehr aufbauen, da der port auf den ich den ersten tunnel aufgebaut habe schon benutzt wird. aus dem grund dachte ich, ein tunnel für alle. dann würde das problem wegfallen.

Und wenn der Benutzer NUR einen Tunnel aufbauen soll ohne sich anmelden zu können gib ihm die Shell "/bin/false".

ja, auch ne gute idee. das wollte ich eh mal wissen. aber wo trage ich diese option ein?

ich hatte auch noch ne andere frage in einem anderen thread gestellt. da ich nun weiß wie ich unter linux einen ssh tunnel erstelle und samba-freigaben damit erreichen kann. suche ich das gleiche unter windows. den tunnel aufbauen ist kein thema unter windows. nun tunnel ich port 445 auf 1445. mit linux und mount, kein thema, da ich den port mit angeben kann. unter windows kenne ich den

Code: Alles auswählen

use net

befehl. aber ich habe keine ahnung wie ich ein laufwerk mappen kann, das auf port 1445 liegt.

[uname]

ja, auch ne gute idee. das wollte ich eh mal wissen. aber wo trage ich diese option ein?

In /etc/passwd an letzter Stelle oder per "usermod" (noch nie benutzt).

Ob man Samba-Shares per Local-SSH-Forwarding tunneln kann weiß ich nicht. Wenn du jedoch Local-SSH-Forwarding am Client nutzen willst muss natürlich jeder seinen eigenen Tunnel aufbauen. Doppelt genutzte Tunnelports (am Client) sollten meiner Meinung nach kein Problem sein, da der Client-Socket (IP/Port) aus Serversicht durch unterschiedliche IP-Adressen (kein NAT/Masquerading vorausgesetzt) trotzdem eindeutig ist. Sicher bin ich mir aber nicht.

[marting]

Geht es Dir um den Client Port oder um den Server Port? Sollte beides kein Problem sein, wobei für den Client ohnehin meist ein mehr oder weniger zufälliger und unprivilegierter Port >1024 genommen wird.

Edit: Bzw. was meinst Du damit/wie kommst Du darauf?
>> da der port auf den ich den ersten tunnel aufgebaut habe schon benutzt wird

[The Hit-Man]

also ich tunnel den port 445 vom server auf den port 1445 auf den client. eben wegen den root rechten kann ich ja nicht tiefer gehen und muß ja auch nicht.